⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
ET EN BG CS DA DE EL ES FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
ISO 27001 NIS2 DORA GDPR NIST COBIT 2019

ISO 27001 auditi tõendusmaterjal NIS2 ja DORA jaoks

Igor Petreski
15 min read
#Audit #ISMS #Riskijuhtimine #Tarnijahaldus #Intsidentidele reageerimine #Talitluspidevus #Andmekaitse #Logimine ja seire
ISO 27001 auditi tõendusmaterjali vastendamine NIS2 ja DORA vastavusnõuetega

Teisipäeva hommikul kell 08.17 ootab kiiresti kasvava fintech-SaaS-ettevõtte infoturbejuhti (CISO) kolm sõnumit.

Esimene on suurelt panganduskliendilt: „Palun saatke oma viimane siseauditi aruanne, juhtkonna läbivaatamise protokollid, parandusmeetmete staatus, intsidentidest teatamise protseduur, tarnijaregister ja tõendid juhatuse järelevalve kohta.“

Teine on finantsjuhilt (CFO): „Kas me kuulume NIS2 või DORA kohaldamisalasse ja milline tõendusmaterjal meil juba olemas on?“

Kolmas on tegevjuhilt (CEO): „Kas saame öelda, et oleme auditiks valmis?“

Paljudes organisatsioonides ei ole ebamugav vastus see, et midagi ei tehta. Olukord on hullem: turbetegevusi tehakse kõikjal, kuid tõendusmaterjal ei ole kusagil terviklik. Kontrollimeetmed on olemas, kuid auditijälg puudub. Piletid on olemas, kuid selge seos riskidega puudub. Juhtkonnale antakse ülevaateid, kuid juhtkonna läbivaatamise formaalsed väljundid puuduvad. Tarnijatega peetakse arutelusid, kuid kaitstavat tarnijaregistrit, lepingute läbivaatamist ega väljumisstrateegiat ei ole.

Just selles lüngas muutuvad ISO/IEC 27001:2022 siseaudit ja juhtkonna läbivaatamine millekski enamaks kui sertifitseerimisega seotud tegevusteks. Need muutuvad NIS2, DORA, GDPR, klientidele kindluse andmise, küberkindlustuse ja juhatuse vastutuse töörütmiks.

SaaS-, pilve-, MSP-, MSSP- ja fintech-meeskonnad kukuvad harva läbi seetõttu, et neil puuduvad turbetegevused. Nad kukuvad läbi seetõttu, et tegevused on hajutatud Slacki, Jira, arvutustabelite, tarnijaportaalide, SOC-i piletite, hankefailide ja juhatuse esitlusmaterjalide vahel. Regulaator, välisaudiitor või äriklient ei soovi kangelaslikku selgitust. Nad soovivad objektiivset tõendusmaterjali.

Praktiline lahendus ei ole käivitada iga raamistiku jaoks eraldi auditiprogramm. Lahendus on kasutada ISO 27001 ISMS-i keskse tõendusmootorina ning märgistada tõendusmaterjal NIS2, DORA, GDPR ja lepinguliste nõuete järgi. Korrektselt üles ehitatuna saab üks siseauditi ja juhtkonna läbivaatamise tsükkel vastata paljudele vastavusküsimustele.

Raamistike väsimusest ühtse ISMS-i tõendusmudelini

Paljud CISO-d seisavad silmitsi Maria probleemiga. Maria juhib infoturvet B2B SaaS-ettevõttes, mille klientide hulgas on finantssektori organisatsioone. Tema meeskond läbis kuus kuud tagasi ISO/IEC 27001:2022 sertifitseerimisauditi. ISMS on küpsemas, poliitikaid järgitakse ja kontrollimeetmete omanikud mõistavad oma vastutust. Siis edastab tegevjuht kaks artiklit, ühe NIS2 direktiivi ja teise DORA kohta, koos lühikese küsimusega: „Kas meil on see kaetud?“

Vastus sõltub kohaldamisalast, teenustest, klientidest ja juriidilistest isikutest. Operatiivne vastus on aga selge: kui Maria käsitleb NIS2 ja DORA eraldi vastavusprojektidena, loob ta dubleerivat tööd, ebajärjekindlat tõendusmaterjali ja kasvavat auditiväsimust. Kui ta käsitleb neid ISMS-i huvitatud osapoolte nõuetena, saab ta kasutada ISO 27001 raamistikku valmisoleku hõlmamiseks, testimiseks ja tõendamiseks.

ISO/IEC 27001:2022 on selleks loodud. Punkt 4 nõuab, et organisatsioon mõistaks oma konteksti ja huvitatud osapoolte nõudeid, sealhulgas õiguslikke, regulatiivseid, lepingulisi ja sõltuvustest tulenevaid kohustusi. Punkt 5 nõuab eestvedamist ja lõimimist äriprotsessidesse. Punkt 6 nõuab riskihindamist ja riskikäsitlust. Punkt 9 nõuab toimivuse hindamist seire, siseauditi ja juhtkonna läbivaatamise kaudu. Punkt 10 nõuab parendamist ja parandusmeetmeid.

NIS2 ja DORA sobituvad sellesse struktuuri loomulikult.

NIS2 nõuab, et olulised ja tähtsad üksused rakendaksid asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi küberturvalisuse riskijuhtimise meetmeid. Samuti paneb see juhtorganitele vastutuse need meetmed heaks kiita, nende rakendamise üle järelevalvet teha ja olla rikkumiste eest vastutusele võetav. Miinimummeetmed hõlmavad riskianalüüsi, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist arendust, haavatavuste käsitlemist, tõhususe hindamist, koolitust, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust ning vajaduse korral mitmefaktorilist autentimist või pidevat autentimist.

DORA kohaldub alates 17. jaanuarist 2025 ja loob finantsüksustele sektoripõhise digitaalse tegevuskerksuse korra. See nõuab juhtorgani vastutust IKT-riski juhtimise eest, dokumenteeritud IKT-riski juhtimise raamistikku, digitaalse tegevuskerksuse strateegiat, IKT talitluspidevuse ja taasteplaane, tegevuskerksuse testimist, IKT intsidentide juhtimiskorraldust ning IKT kolmandate osapoolte riskijuhtimist. Finantsüksusi teenindavate SaaS- ja pilveteenusepakkujate jaoks võib DORA avalduda lepinguliste kohustuste, kliendiauditite ja IKT kolmandate osapoolte riskijuhtimise ootuste kaudu ka siis, kui teenusepakkuja ise ei ole finantsüksus.

GDPR lisab vastutuse tõendamise kihi. Kui GDPR kohaldamisalas töödeldakse isikuandmeid, peavad organisatsioonid suutma tõendada vastavust andmekaitse põhimõtetele ning asjakohastele tehnilistele ja korralduslikele meetmetele.

ISO 27001 ei ole nende kohustuste jaoks maagiline vastavussertifikaat. See on juhtimissüsteem, mis võimaldab neid korraldada, tõendada ja parendada.

Kohaldamisala küsimus: mida ja kellele te tõendate?

Enne auditivalmis tõenduspaketi koostamist peab juhtkond vastama põhiküsimusele: millised kohustused kuuluvad kohaldamisalasse?

SaaS- ja pilveettevõtete puhul võib NIS2 kohaldamisala olla oodatust laiem. NIS2 kohaldub loetletud sektorites tegutsevatele avaliku või erasektori üksustele, mis vastavad suuruskriteeriumidele, ning teatavatele suure mõjuga üksustele sõltumata suurusest. Asjakohased sektorid võivad hõlmata digitaalset taristut, pilveteenuse pakkujaid, andmekeskuse teenusepakkujaid, sisuedastusvõrke, usaldusteenuse pakkujaid, avalike elektrooniliste sideteenuste pakkujaid ja B2B IKT-teenusehalduse pakkujaid, näiteks hallatud teenuse pakkujaid ja hallatud turvateenuse pakkujaid. SaaS-teenusepakkujad peaksid tähelepanelikult hindama, kuidas teenuseid osutatakse, milliseid sektoreid need toetavad ning kas need võimaldavad nõudepõhist haldust ja laia kaugjuurdepääsu skaleeritavatele jagatud arvutusressurssidele.

Fintech- ja finantssektori teenusepakkujate puhul tuleb DORA-t analüüsida eraldi. DORA hõlmab otseselt laia valikut finantsüksusi, sealhulgas krediidiasutusi, makseasutusi, kontoteabeteenuse pakkujaid, e-raha asutusi, investeerimisühinguid, krüptovarateenuse pakkujaid, kauplemiskohti, fondihaldureid, kindlustus- ja edasikindlustusandjaid ning ühisrahastusteenuse pakkujaid. IKT kolmandast osapoolest teenusepakkujad on samuti osa DORA ökosüsteemist, sest finantsüksused peavad juhtima oma IKT-sõltuvusi, pidama lepinguliste kokkulepete registreid ja lisama kriitilisi või olulisi funktsioone toetavate IKT-teenuste lepingutesse konkreetsed lepingutingimused.

NIS2 ja DORA mõjutavad teineteist. Kui sektoripõhine EL-i õigusakt kehtestab samaväärsed küberturvalisuse riskijuhtimise või intsidendist teatamise nõuded, ei pruugi vastavad NIS2 sätted nendele üksustele nendes valdkondades kohalduda. DORA on finantsüksuste sektoripõhine tegevuskerksuse kord. See ei muuda NIS2 kõigi ümbritsevate teenusepakkujate jaoks ebaoluliseks. See tähendab, et tõendusmudel peab eristama, kas organisatsioon on finantsüksus, millele DORA otseselt kohaldub, finantsüksusi toetav IKT kolmandast osapoolest teenusepakkuja, NIS2 kohaldamisalasse kuuluv SaaS-teenusepakkuja või mitme juriidilise isiku ja teenuseliiniga kontsern.

See kohaldamisala analüüs peab sisalduma ISMS-i kontekstis ja huvitatud osapoolte registris. Ilma selleta testib auditiplaan valesid asju.

Üks auditijälg, palju vastavusküsimusi

Levinud viga on luua eraldi tõenduspaketid ISO 27001, NIS2, DORA, GDPR, küberkindlustuse ja kliendiauditite jaoks. Selline lähenemine tekitab dubleerimist ja vastuolulisi vastuseid. Parem lähenemine on üks tõendusmudel mitme vaatenurgaga.

Keskmes on ISMS. Selle ümber on viis tõendusmaterjali perekonda.

Tõendusmaterjali perekondMida see tõendabTüüpilised kirjed
JuhtimistõendusJuhtkond kiitis ISMS-i heaks, eraldas ressursid ja vaatas selle läbiInfoturbepoliitika, rollid, auditiplaan, juhtkonna läbivaatamise protokollid, juhatuse aruandlus
RiskitõendusRiskid tuvastati, hinnati, määrati omanikele ja käsitletiRiskikriteeriumid, riskiregister, riski käsitlemise plaan, kohaldatavusdeklaratsioon (SoA), jääkriski heakskiidud
KontrollitõendusKontrollimeetmed toimivad kavandatultJuurdepääsuõiguste ülevaatused, taastetestid, seireteavitused, haavatavuste aruanded, tarnijate hoolsuskontroll, turvalise arenduse kirjed
KinnitustõendusSõltumatud või sisemised kontrollid tuvastasid lüngad ja kinnitasid vastavustSiseauditi plaan, auditi kontrollnimekiri, auditiaruanne, mittevastavuste register, CAPA register
ParendustõendusLeiud viisid paranduse, algpõhjuse analüüsi ja pideva täiustamiseniParandusmeetmete plaanid, õppetunnid, juhtkonna otsused, ajakohastatud poliitikad, kordustestimise kirjed

See struktuur on kooskõlas Zenith Blueprint: An Auditor’s 30-Step Roadmap raamistikuga Zenith Blueprint. Auditi, läbivaatamise ja parendamise faasis keskendub samm 25 siseauditi programmile, samm 26 auditi läbiviimisele, samm 28 juhtkonna läbivaatamisele ja samm 29 pidevale täiustamisele.

Blueprinti sammu 25 juhis on teadlikult praktiline:

„Koostage ajakava, mis kirjeldab, millal auditid toimuvad ja mida need hõlmavad.“

„Kasutage siseauditi plaani malli, kui see on olemas; see võib olla lihtne dokument või arvutustabel, mis loetleb auditite kuupäevad, kohaldamisala ja määratud audiitorid.“

Allikas: Zenith Blueprint, auditi, läbivaatamise ja parendamise faas, samm 25: siseauditi programm Zenith Blueprint

See lihtne auditiplaan muutub mõjusaks siis, kui see on riskipõhine ning seotud NIS2, DORA ja GDPR kohustustega.

ISO 27001 kontrollimeetmed, mis toetavad auditivalmidust

Auditivalmiduse seisukohalt on kolm ISO/IEC 27002:2022 kontrollimeedet eriti olulised, kui neid tõlgendada Zenith Controls: The Cross-Compliance Guide kaudu Zenith Controls:

  • 5.4 Juhtkonna kohustused
  • 5.35 Infoturbe sõltumatu läbivaatamine
  • 5.36 Vastavus infoturbepoliitikatele, -reeglitele ja -standarditele

Need ei ole eraldi „Zenith kontrollimeetmed“. Need on ISO/IEC 27002:2022 kontrollimeetmed, mida Zenith Controls aitab eri raamistikesse vastendada, auditeerida ja tõlgendada.

Kontrollimeede 5.4 küsib, kas infoturbe vastutused on määratud ja arusaadavad. Kontrollimeede 5.35 küsib, kas infoturvet vaadatakse sõltumatult läbi. Kontrollimeede 5.36 küsib, kas organisatsioon järgib oma poliitikaid, reegleid ja standardeid.

Zenith Controls klassifitseerib kontrollimeetme 5.35 kinnituskeskselt:

ISO/IEC 27002:2022 kontrollimeedet 5.35 „Independent Review of Information Security“ käsitletakse Zenith Controls raamistikus kui „Preventive, Corrective“, mis toetab konfidentsiaalsust, terviklust ja käideldavust küberturvalisuse mõistete „Identify“ ja „Protect“ kaudu ning mille operatiivne võimekus on „Information Security Assurance“. Zenith Controls

See on oluline, sest siseaudit on ühtaegu ennetav ja korrigeeriv. See ennetab pimealasid, testides ISMS-i enne välist kontrolli, ning kõrvaldab nõrkusi dokumenteeritud tegevuste kaudu.

Laiem vastendustabel algab NIS2 ja DORA nõuetest ning tuvastab seejärel ISO 27001 tõendusmaterjali, millega neid saab tõendada.

Regulatiivne teemaISO/IEC 27001:2022 ja ISO/IEC 27002:2022 tõendusmaterjalPraktiline auditi fookus
Juhtkonna vastutusPunktid 5, 9.3 ja kontrollimeetmed 5.2, 5.4, 5.35, 5.36Juhtkonna kinnitused, läbivaatamise protokollid, rollimäärangud, CAPA otsused
Riskianalüüs ja turbepoliitikadPunktid 4, 6.1, 6.2 ja kontrollimeetmed 5.1, 5.7, 5.9, 5.31Riskikriteeriumid, riskiregister, poliitikate kinnitused, õiguslikud ja lepingulised nõuded
Intsidentide käsitlemineKontrollimeetmed 5.24, 5.25, 5.26, 5.27, 5.28Klassifitseerimine, eskaleerimine, reageerimiskirjed, õppetunnid, tõendusmaterjali säilitamine
Talitluspidevus ja taasteKontrollimeetmed 5.29, 5.30, 8.13Talitluspidevuse plaanid, IKT-valmisolek, varukoopiate taastetestid, taastemõõdikud
Tarnija- ja pilveriskKontrollimeetmed 5.19, 5.20, 5.21, 5.22, 5.23Tarnijate hoolsuskontroll, lepingud, seire, pilveteenustest väljumise plaanid, kontsentratsioonirisk
Turvaline arendus ja haavatavusedKontrollimeetmed 8.8, 8.25, 8.26, 8.27, 8.28, 8.29Haavatavuste SLA-d, turvalise SDLC kirjed, muudatuste kinnitused, turbetestimine
Juurdepääs, personal ja koolitusKontrollimeetmed 5.15, 5.16, 5.17, 5.18, 6.1, 6.2, 6.3, 6.5, 6.6, 6.7Juurdepääsuõiguste ülevaatused, tööleasujate, ametikoha vahetajate ja lahkujate valimid, teadlikkuse kirjed, kaugtöö kontrollimeetmed
Logimine, seire ja krüptograafiaKontrollimeetmed 8.15, 8.16, 8.17, 8.24Logide säilitamine, teavituste ülevaatus, aja sünkroniseerimine, krüptimisstandardid
Privaatsus ja õiguslik vastavusKontrollimeetmed 5.31, 5.34, 5.36Õigusregister, privaatsuskontrollid, volitatud töötleja tõendusmaterjal, vastavuse ülevaatused

Kontrollimeetmete vastendamine on kasulik ainult siis, kui tõendusmaterjal on tugev. Kui kirje on nõrk, ei päästa ükski vastendustabel. Kui kirje on täielik, saab sama tõendusmaterjal vastata ISO, NIS2, DORA, GDPR, NIST Cybersecurity Framework 2.0 ja COBIT 2019 tüüpi küsimustele.

Poliitikapõhine tõendusmaterjal, mille säilitamist Clarysec organisatsioonidelt eeldab

Clarysec poliitikad muudavad ISMS-i teooria tõendusootusteks.

VKE-de jaoks nõuab VKE-de auditi ja vastavusseire poliitika Audit and Compliance Monitoring Policy-sme juhtkonna heakskiitu ja auditeerimisdistsipliini:

„Tegevjuht (GM) peab kinnitama iga-aastase auditiplaani.“

Allikas: VKE-de auditi ja vastavusseire poliitika, juhtimisnõuded, punkt 5.1.1 Audit and Compliance Monitoring Policy-sme

See määrab ka minimaalse sageduse:

„Siseauditeid või vastavuse ülevaatusi tuleb teha vähemalt kord aastas.“

Allikas: VKE-de auditi ja vastavusseire poliitika, juhtimisnõuded, punkt 5.2.1

Samuti seob see leiud parandamise ja juhtkonna läbivaatamisega:

„GM peab kinnitama parandusmeetmete plaani ja jälgima selle rakendamist.“

Allikas: VKE-de auditi ja vastavusseire poliitika, juhtimisnõuded, punkt 5.4.2

„Auditileiud ja staatuse uuendused tuleb lisada ISMS-i juhtkonna läbivaatamise protsessi.“

Allikas: VKE-de auditi ja vastavusseire poliitika, juhtimisnõuded, punkt 5.4.3

Tõendusmaterjali säilitamine on samuti selgelt sätestatud:

„Tõendusmaterjali tuleb säilitada vähemalt kaks aastat või kauem, kui seda nõuavad sertifitseerimine või kliendilepingud.“

Allikas: VKE-de auditi ja vastavusseire poliitika, poliitika rakendamise nõuded, punkt 6.2.4

Suuremate organisatsioonide puhul laiendab struktuuri Auditi ja vastavusseire poliitika Audit and Compliance Monitoring Policy, mida mõnes Clarysec materjalis nimetatakse ka P33 Audit and Compliance Monitoring Policy:

„Riskipõhine auditiplaan tuleb koostada ja kinnitada igal aastal, võttes arvesse järgmist:“

Allikas: Auditi ja vastavusseire poliitika, juhtimisnõuded, punkt 5.2 Audit and Compliance Monitoring Policy

„Organisatsioon peab pidama auditiregistrit, mis sisaldab järgmist:“

Allikas: Auditi ja vastavusseire poliitika, juhtimisnõuded, punkt 5.4

„Siseauditid peavad järgima dokumenteeritud protseduuri, mis hõlmab järgmist:“

Allikas: Auditi ja vastavusseire poliitika, poliitika rakendamise nõuded, punkt 6.1.1

„Kõigi leidude kohta tuleb koostada dokumenteeritud CAPA, mis sisaldab järgmist:“

Allikas: Auditi ja vastavusseire poliitika, poliitika rakendamise nõuded, punkt 6.2.1

Juhtkonna läbivaatamine on seotud Infoturbepoliitikaga Information Security Policy, mida mõnes Clarysec materjalis nimetatakse ka P01 Information Security Policy:

„Juhtkonna läbivaatamise tegevused (vastavalt ISO/IEC 27001 punktile 9.3) tuleb läbi viia vähemalt kord aastas ning need peavad hõlmama järgmist:“

Allikas: Infoturbepoliitika, juhtimisnõuded, punkt 5.3 Information Security Policy

Need nõuded loovad tõendusahela, mida audiitorid ootavad: kinnitatud plaan, määratletud protseduur, auditiregister, leiud, CAPA, säilitamine ja juhtkonna läbivaatamine.

Auditivalmis tõenduspaketi koostamine

Auditivalmis tõenduspakett ei ole hiiglaslik kaust, mis luuakse kaks päeva enne auditit. See on elav struktuur, mida hoitakse ajakohasena kogu aasta vältel.

Tõendusmaterjali elementISO 27001 eesmärkSeos NIS2 ja DORA-ga
ISMS-i kohaldamisala ja huvitatud osapoolte registerNäitab, et õiguslikud, lepingulised ja sõltuvustega seotud nõuded on tuvastatudToetab NIS2 üksuse kohaldamisala, DORA rollianalüüsi ja GDPR vastutuse tõendamist
Riskikriteeriumid ja riskiregisterNäitab järjepidevat riskihindamist ja riskivastutustToetab NIS2 riskijuhtimise meetmeid ja DORA IKT-riski raamistikku
Kohaldatavusdeklaratsioon (SoA)Näitab valitud kontrollimeetmeid, põhjendust ja rakendamise staatustLoob koondatud kontrollibaasi ristvastavuse jaoks
Iga-aastane siseauditi plaanNäitab kavandatud kindlustandvaid tegevusiToetab juhtkonna järelevalvet ja DORA IKT-auditi planeerimist
Siseauditi kontrollnimekiriNäitab auditi kriteeriume ja valimimeetoditTõendab, kuidas NIS2, DORA ja GDPR nõudeid testiti
Auditiaruanne ja leidude registerNäitab objektiivset tõendusmaterjali ja mittevastavusiToetab tõhususe hindamist ja regulatiivset kindlust
CAPA registerNäitab algpõhjust, omanikku, tähtaega ja sulgemistToetab NIS2 kohaseid parandusmeetmeid ja DORA kohast puuduste kõrvaldamist
Juhtkonna läbivaatamise pakettNäitab juhtkonna ülevaadet toimivusest, intsidentidest, riskist ja ressurssidestToetab NIS2 ja DORA kohast juhatuse vastutust
Tarnijaregister ja lepinguline tõendusmaterjalNäitab kolmanda osapoole riski kontrolliToetab NIS2 tarneahela turvet ja DORA IKT kolmandate osapoolte riskijuhtimist
Intsidentidest teatamise ja õppetundide kirjedNäitab reageerimist ja parendamistToetab NIS2 etapilist aruandlust ja DORA intsidentide juhtimist

Tõenduspakett tuleks vastendada ISO/IEC 27001:2022 punktidele ja Annex A kontrollimeetmetele, kuid märgistada regulatiivse asjakohasuse järgi. Näiteks võib tarnija auditi kirje toetada Annex A tarnijakontrolle, NIS2 tarneahela turvet ja DORA IKT kolmandate osapoolte riskijuhtimist. Intsidendi lauaõppuse kirje võib toetada ISO 27001 intsidentide haldust, NIS2 etapilise teavitamise valmisolekut ja DORA olulise IKT-ga seotud intsidendi juhtimiskorraldust.

Kuidas teha integreeritud siseauditit

Zenith Blueprint samm 26 rõhutab objektiivset tõendusmaterjali:

„Tehke audit, kogudes objektiivset tõendusmaterjali iga kontrollnimekirja punkti kohta.“

„Intervjueerige asjakohast personali.“

„Vaadake dokumentatsioon läbi.“

„Jälgige praktikaid.“

„Tehke valimipõhiseid ja pistelisi kontrolle.“

Allikas: Zenith Blueprint, auditi, läbivaatamise ja parendamise faas, samm 26: auditi läbiviimine Zenith Blueprint

Just seda nõuab NIS2 ja DORA valmisolek. Regulaatorid ja kliendid ei aktsepteeri väidet „usume, et see toimib“. Nad küsivad, kuidas te seda teate.

Hästi juhitud audit testib nelja tõendusmõõdet.

TõendusmõõdeAuditi näidistestHea tõendusmaterjal
KavandKas poliitika või protsess määratleb nõude?Kinnitatud poliitika, protseduur, standard, töövoog
RakendamineKas protsess on kasutusele võetud?Piletid, konfiguratsioonid, koolituse kirjed, tarnijakirjed
Toimimise tõhususKas see töötas aja jooksul?Mitme kuu valimid, teavitused, läbivaatamise logid, testitulemused
Juhtimise eskaleerimineKas juhtkond nägi tulemusi ja tegutses nende alusel?CAPA heakskiit, juhtkonna läbivaatamise protokollid, eelarveotsus

Võtame näiteks simuleeritud lunavarasündmuse vahekeskkonna serveris. Audiitor testib, kas intsidendihalduse protsess suudab täita ISO 27001 nõudeid, NIS2 etapilise aruandluse ootusi ja DORA kliendikohustusi.

Kogutud tõendusmaterjalSeos ISO 27001-gaSeos NIS2-gaSeos DORA-ga
Intsidendilogi esialgse klassifitseerimise ja ajatempligaKontrollimeede 5.26 reageerimine infoturbeintsidentideleMäärab teadlikuks saamise hetke aruandlustähtaegade jaoksToetab IKT-ga seotud intsidentide tuvastamist ja logimist
Eskaleerimine CSIRT-ile ja õigusnõustajaleKontrollimeede 5.25 infoturbesündmuste hindamine ja otsustamineToetab olulise intsidendi teavitamise otsustamistToetab sisekommunikatsiooni ja eskaleerimisprotseduure
Varajase hoiatuse teavituse kavandi mallKontrollimeede 5.24 intsidendihalduse planeerimine ja ettevalmistusToetab suutlikkust täita 24 tunni varajase hoiatuse ootustVõib toetada lepingulist kommunikatsioonivalmidust
Varukoopia taastamise otsuse kirjeKontrollimeetmed 5.29, 5.30 ja 8.13Toetab talitluspidevuse ja katastroofitaaste tõendusmaterjaliToetab reageerimise, taaste ja varukoopia taastamise ootusi
Kliendikommunikatsiooni kirjeKontrollimeetmed 5.20 ja 5.22 tarnijalepped ja tarnijateenuste seireVõib toetada lepingulist ja tarneahela kommunikatsiooniToetab finantskliendi kolmanda osapoole riskikohustusi

NIS2-l on oluliste intsidentide jaoks etapiline aruandlusstruktuur, sealhulgas varajane hoiatus 24 tunni jooksul pärast teadlikuks saamist, intsidenditeade 72 tunni jooksul ja lõpparuanne ühe kuu jooksul pärast intsidenditeadet. DORA-l on finantsüksustele oma IKT-ga seotud intsidentide klassifitseerimise ja aruandluse raamistik. Siseaudit peab kontrollima, et tööjuhised fikseeriksid teadlikuks saamise aja, tõsiduse kriteeriumid, mõjutatud teenused, kompromiteerimise indikaatorid, maandamismeetmed, algpõhjuse, klientide teavitamise kohustused ja lõpparuandluse andmed.

Ühe auditileiu muutmine NIS2 ja DORA tõendusmaterjaliks

Realistlik tarnijaleid näitab, kuidas tõendusmaterjal peaks liikuma.

Siseauditi käigus võtab audiitor valimisse viis kriitilist tarnijat. Üks pilvepõhine logimisteenuse pakkuja toetab fintech-platvormi pettuste seiret ja turbeteavitusi. Tarnija on registris olemas, kuid dokumenteeritud väljumisplaani ei ole, iga-aastase turbeülevaatuse tõendusmaterjal puudub ning puudub kinnitus, et leping sisaldab intsidendiabi või auditeerimisõigusi.

Audiitor registreerib mittevastavuse tarnijate turbe ja pilveteenusest väljumise nõuete suhtes. Nõrk vastus oleks „tarnija ülevaatus puudub“. Tugev vastus loob ristvastavuse tõendusahela:

  1. Registreerige leid auditiaruandes, sh valimi suurus, tarnija nimi, lepingu viide ja puuduv tõendusmaterjal.
  2. Lisage CAPA kirje algpõhjusega, näiteks „tarnija kaasamise kontrollnimekiri ei sisaldanud kriitilisuse klassifikatsiooni ega väljumisplaani käivitajat“.
  3. Määrake tarnija omanik ja riskiomanik.
  4. Ajakohastage tarnijaregistrit, märkides teenuse kriitilist või olulist funktsiooni toetavaks.
  5. Tehke riskihindamine, mis hõlmab teenuse katkestust, andmetele juurdepääsu, kontsentratsiooniriski, intsidendist teatamise sõltuvust ja lepingulisi lünki.
  6. Ajakohastage riski käsitlemise plaani ja kohaldatavusdeklaratsiooni (SoA), kui see on asjakohane.
  7. Hankige ajakohastatud lepingu lisa või dokumenteeritud riski aktsepteerimine.
  8. Looge või testige väljumisplaani.
  9. Auditeerige tarnija tõendusmaterjal pärast puuduste kõrvaldamist uuesti.
  10. Esitage leid, risk ja ressursivajadused juhtkonna läbivaatamisel.

See üks ahel toetab mitut kohustust. NIS2 eeldab tarneahela turvet ning tarnijate haavatavuste, küberturvalisuse praktikate ja turvalise arenduse protseduuride arvestamist. DORA nõuab, et finantsüksused juhiksid IKT kolmandate osapoolte riski, peaksid lepinguliste kokkulepete registreid, hindaksid teenuseosutajaid enne lepingu sõlmimist, lisaksid vajaduse korral auditi- ja kontrolliõigused, säilitaksid lõpetamisõigused ning dokumenteeriksid väljumisstrateegiad kriitilisi või olulisi funktsioone toetavate IKT-teenuste jaoks. GDPR võib samuti olla asjakohane, kui tarnija töötleb isikuandmeid.

Auditi kirje ei ole enam pelgalt vastavuse tõendusmaterjal. See on tegevuskerksuse tõendusmaterjal.

Juhtkonna läbivaatamine: koht, kus tõendusmaterjal muutub vastutuseks

Siseaudit leiab tõe. Juhtkonna läbivaatamine otsustab, mida sellega teha.

Zenith Blueprint samm 28 kirjeldab juhtkonna läbivaatamise sisendpaketti:

„ISO 27001 määratleb juhtkonna läbivaatamise jaoks mitu kohustuslikku sisendit. Koostage lühike aruanne või esitlus, mis katab need punktid.“

Blueprint loetleb varasemate tegevuste staatuse, väliste ja sisemiste teemade muutused, ISMS-i toimivuse ja tõhususe, intsidendid või mittevastavused, parendusvõimalused ja ressursivajadused.

Allikas: Zenith Blueprint, auditi, läbivaatamise ja parendamise faas, samm 28: juhtkonna läbivaatamine Zenith Blueprint

NIS2 ja DORA puhul on juhtkonna läbivaatamine koht, kus juhatuse tasandi vastutus muutub nähtavaks. Läbivaatamine ei tohiks öelda ainult „turvalisust arutati“. See peab näitama, et juhtkond vaatas läbi:

  • NIS2, DORA, GDPR, kliendi- ja lepinguliste nõuete muutused.
  • Kohaldamisala muutused, sealhulgas uued riigid, tooted, reguleeritud kliendid või IKT-sõltuvused.
  • Siseauditi tulemused, sealhulgas olulised ja väikesed mittevastavused.
  • CAPA-de ja tähtaja ületanud tegevuste staatuse.
  • Turbe-eesmärgid ja mõõdikud.
  • Intsidentide suundumused, peaaegu juhtumid ja õppetunnid.
  • Tarnija- ja pilveteenuste kontsentratsiooniriskid.
  • Talitluspidevuse ja varukoopiate testitulemused.
  • Haavatavuste ja paikamise toimivuse.
  • Ressursivajadused, sealhulgas inimesed, tööriistad, koolitus ja eelarve.
  • Jääkriskid, mis nõuavad formaalset aktsepteerimist.
  • Parendusotsused ja vastutavad omanikud.

Siin saab Maria muuta tehnilise aruande strateegiliseks kindluseks. Selle asemel et öelda „leidsime ühe intsidendiprotsessi lünga“, saab ta öelda: „Audit tuvastas ühe väikese mittevastavuse meie NIS2 intsidendist teatamise otsustuskriteeriumides. CAPA ajakohastab protseduuri, lisab otsustusmaatriksi ja nõuab lauaõppust 30 päeva jooksul. Vajame juhtkonna heakskiitu õiguslikule ülevaatusele ja koolitusajale.“

Just selline kirje toetab juhtimist, järelevalvet ja kaitstavat otsustamist.

Parandusmeede: erinevus leiu ja küpsuse vahel

Siseaudit ilma parandusmeetmeta on ainult diagnoos.

Zenith Blueprint samm 29 suunab organisatsioone kasutama CAPA registrit:

„Täitke see iga probleemiga: probleemi kirjeldus, algpõhjus, parandusmeede, vastutav omanik, lõpetamise sihtkuupäev, staatus.“

Allikas: Zenith Blueprint, auditi, läbivaatamise ja parendamise faas, samm 29: pidev täiustamine Zenith Blueprint

See teeb ka olulise eristuse:

„Audititerminites: parandamine kõrvaldab sümptomi, parandusmeede kõrvaldab põhjuse. Mõlemad on olulised.“

Allikas: Zenith Blueprint, auditi, läbivaatamise ja parendamise faas, samm 29: pidev täiustamine

Kui varukoopia taastamise tõendusmaterjal puudub, võib paranduseks olla taastetesti tegemine ja dokumenteerimine sellel nädalal. Parandusmeede on varundusprotseduuri muutmine nii, et taastetestid kavandatakse kord kvartalis, nende kohta luuakse automaatselt pilet, teenuseomanik vaatab need läbi ja need lisatakse juhtkonna läbivaatamise mõõdikutesse.

Audiitorid otsivad sellist küpsust. ISO 27001 audiitor testib vastavust ISMS-ile ja valitud kontrollimeetmetele. NIS2 ülevaataja küsib, kas riskijuhtimise meetmed on tõhusad ja nende üle tehakse järelevalvet. DORA ülevaataja otsib IKT-riski raamistiku lõimimist, tegevuskerksuse testimist, kolmandate osapoolte sõltuvuste haldamist ja puuduste kõrvaldamist. NIST Cybersecurity Framework 2.0 hindaja võib küsida, kas juhtimise, tuvastamise, kaitsmise, avastamise, reageerimise ja taastamise tulemused toimivad. COBIT 2019 audiitor võib keskenduda juhtimiseesmärkidele, omaniklusele, tulemusnäitajatele ja kinnitustegevustele.

Sama CAPA kirje saab neid vaatenurki rahuldada, kui see sisaldab algpõhjust, omanikku, riskimõju, parandusmeedet, tähtaega, rakendamise tõendusmaterjali, tõhususe ülevaatust ja nähtavust juhtkonnale.

Audiitori mitu vaatenurka

Erinevad audiitorid loevad sama tõendusmaterjali erinevalt. Zenith Controls aitab neid küsimusi ette näha, toimides ISO/IEC 27002:2022 kontrollimeetmete ja seotud raamistike ristvastavuse juhendina.

Auditi vaatenurkMida audiitor tõenäoliselt küsibTõendusmaterjal, mis vastab hästi
ISO 27001 audiitorKas ISMS on kavandatud, rakendatud, hinnatud ja parendatud vastavalt ISO/IEC 27001:2022 nõuetele?Kohaldamisala, riskihindamine, kohaldatavusdeklaratsioon (SoA), siseauditi plaan, auditiaruanne, juhtkonna läbivaatamise väljundid, CAPA
NIS2 ülevaatajaKas juhtkond kiitis heaks ja tegi järelevalvet asjakohaste riskijuhtimise meetmete üle ning kas üksus suudab näidata tõhusust ja parandusmeetmeid?Juhatuse või juhtkonna läbivaatamise protokollid, riski käsitlemise plaan, intsidendi tööjuhised, tarnijate ülevaatused, koolituse kirjed, tõhususe mõõdikud
DORA ülevaatajaKas IKT-riski juhtimine on lõimitud juhtimisse, tegevuskerksuse strateegiasse, testimisse, kolmandate osapoolte riskidesse ja puuduste kõrvaldamisse?IKT-riski raamistik, auditiplaan, tegevuskerksuse testimise tõendusmaterjal, kolmandate osapoolte register, kriitiliste funktsioonide kaardistus, puuduste kõrvaldamise kirjed
GDPR ülevaatajaKas organisatsioon suudab tõendada vastutust isikuandmete töötlemise ja turvalisuse eest?Andmeregister, õigusliku aluse kirjed, volitatud töötlejate lepingud, rikkumislogid, juurdepääsukontrollid, säilitamise tõendusmaterjal, turvameetmed
NIST CSF 2.0 hindajaKas juhtimise, riski, kaitse, tuvastamise, reageerimise ja taastamise tulemused toimivad tõhusalt?Tulemustega vastendatud kontrollitõendus, logid, seire, intsidentide kirjed, taastetestid, parendustegevused
COBIT 2019 audiitorKas juhtimiseesmärgid, omaniklus, tulemusjuhtimine ja kindlustandvad tegevused on määratletud ja seiratud?RACI, poliitikad, KPI-d, auditiregister, probleemihaldus, juhtkonna aruandlus, otsuste kirjed

Kontrollimeede 5.36 on hea näide. ISO 27001 audiitor võib keskenduda sellele, kas vastavuse ülevaatused toimuvad ja jõuavad parandusmeetmetesse. NIS2 ülevaataja võib küsida, kas need ülevaatused testivad õiguslikke küberturvalisuse meetmeid, mitte ainult sisereegleid. DORA ülevaataja võib keskenduda sellele, kas vastavuse ülevaatused hõlmavad kriitilisi IKT teenuseosutajaid ja lepinguliste tingimuste rakendamist.

Seetõttu peab tõendusmaterjal olema algusest peale kavandatud mitmele lugejale.

Praktiline 30-päevane auditivalmiduse sprint

Kui tegevjuht küsib, kas organisatsioon saab 30 päevaga auditiks valmis, on aus vastus: realistliku kohaldamisala ja juhtkonna toetuse korral saab luua usaldusväärse tõendusbaasi.

PäevadTegevusVäljund
1 kuni 3Kinnitage ISMS-i kohaldamisala, reguleeritud teenused, huvitatud osapooled ja kohustusedKohaldamisala avaldus, NIS2, DORA ja GDPR kohaldatavuse märkus
4 kuni 7Ajakohastage riskikriteeriumid, riskiregister ja peamised riskiomanikudAjakohastatud riskiregister ja käsitlusprioriteedid
8 kuni 10Koostage riskipõhine siseauditi plaanKinnitatud auditiplaan ja auditi kontrollnimekiri
11 kuni 17Tehke auditiintervjuud, valimipõhine kontroll ja tõendusmaterjali läbivaatusTõendusmaterjali register, leiud, positiivsed tähelepanekud
18 kuni 20Valideerige leiud omanikega ja klassifitseerige tõsidusAuditiaruanne ja mittevastavuste register
21 kuni 24Looge CAPA register algpõhjuste, omanike ja tähtaegadegaKinnitatud parandusmeetmete plaan
25 kuni 27Valmistage ette juhtkonna läbivaatamise pakettLäbivaatamise esitlus või aruanne mõõdikute, riskide, intsidentide ja ressurssidega
28 kuni 30Viige läbi juhtkonna läbivaatamine ja registreerige otsusedProtokollid, tegevusregister, riski aktsepteerimised, ressursiotsused

See sprint ei asenda pikaajalist küpsust. See loob kaitstava tegevusbaasi. Tegelik väärtus tekib siis, kui organisatsioon kordab tsüklit kord kvartalis või poolaastas, mitte ainult kord aastas.

Levinud tõendusmaterjali puudused, mida Clarysec leiab

Samad nõrkused ilmnevad SaaS-, pilve- ja fintech-auditites korduvalt:

  • Auditiplaan on olemas, kuid see ei ole riskipõhine.
  • Auditi kontrollnimekiri testib ISO punkte, kuid eirab NIS2, DORA, GDPR ja kliendikohustusi.
  • Juhtkonna läbivaatamise protokollid on olemas, kuid need ei näita otsuseid, ressursside eraldamist ega riski aktsepteerimist.
  • CAPA kirjed loetlevad tegevusi, kuid algpõhjus puudub.
  • Leiud suletakse ilma tõhususe verifitseerimiseta.
  • Tarnijate ülevaatusi tehakse, kuid kriitilisi tarnijaid ei eristata madala riskiga tarnijatest.
  • Intsidendi tööjuhised on olemas, kuid keegi ei suuda tõendada, et 24 või 72 tunni aruandlustöövoog toimiks.
  • Varundustööd on rohelised, kuid taasteteste ei ole tõendatud.
  • Juurdepääsuõiguste ülevaatused eksporditakse, kuid erandeid ei jälgita sulgemiseni.
  • Logid kogutakse, kuid keegi ei suuda näidata seiret, eskaleerimist ega reageerimist.
  • Tõendusmaterjali hoitakse isiklikes kaustades, mitte kontrollitud hoidlas.
  • Säilitamisnõuded on ebaselged või vastuolus kliendilepingutega.

Need puudused on parandatavad. Need nõuavad struktureeritud ISMS-i tõendusarhitektuuri, mitte viimasel hetkel dokumentide tagaajamist.

Milline hea seis juhatuse jaoks välja näeb

Kui CISO naaseb tegevjuhi ja finantsjuhi juurde, ei ole tugevaim vastus „läbisime auditi kontrollnimekirja“. See on:

„Meil on kinnitatud auditiplaan. Tegime riskipõhise siseauditi. Tuvastasime leiud objektiivse tõendusmaterjali alusel. Kinnitasime CAPA-d omanike ja tähtaegadega. Eskaleerisime olulised riskid, intsidendid, tarnijasõltuvused ja ressursivajadused juhtkonna läbivaatamisele. Vastendasime tõendusmaterjali ISO/IEC 27001:2022, NIS2, DORA ja GDPR nõuetega. Saame näidata auditijälge.“

See vastus muudab vestluse sisu. See annab tegevjuhile kindluse klientidega suhtlemisel. See annab finantsjuhile selguse regulatiivse kokkupuute kohta. See annab juhatusele kaitstava järelevalvekirje. See annab CISO-le prioriseeritud teekaardi, mitte eraldiseisvate päringute kuhja.

Kõige olulisem on, et see viib organisatsiooni vastavusteatrist operatsioonilise tegevuskerksuseni.

Järgmised sammud Claryseciga

Teie järgmine audit ei tohiks olla rabelemine. See peaks olema nähtav tõend, et teie ISMS toimib, juhtkond on kaasatud ning organisatsioon on valmis ISO 27001, NIS2, DORA, GDPR ja klientidele kindluse andmise jaoks.

Clarysec saab aidata teil:

  • Koostada riskipõhise siseauditi plaani, kasutades Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint.
  • Vastendada auditi tõendusmaterjali Zenith Controls: The Cross-Compliance Guide juhendi kaudu Zenith Controls.
  • Rakendada VKE või suurettevõtte auditi juhtimist, kasutades VKE-de auditi ja vastavusseire poliitikat Audit and Compliance Monitoring Policy-sme või Auditi ja vastavusseire poliitikat Audit and Compliance Monitoring Policy.
  • Valmistada ette juhtkonna läbivaatamise paketid, mis on kooskõlas Infoturbepoliitikaga Information Security Policy ja ISO/IEC 27001:2022 punkti 9.3 ootustega.
  • Muuta leiud CAPA kirjeteks, juhtkonna otsusteks ja mõõdetavaks parenduseks.

Laadige alla Clarysec tööriistakomplektid, broneerige valmisoleku hindamine või küsige demo, et muuta järgmine siseaudit ISO 27001, NIS2, DORA ja muude nõuete jaoks juhatusele sobivaks tõendusmaterjaliks.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles